Betriebsvereinbarungen sollten jedenfalls die zentralen Grundsätze der DSGVO für den Umgang mit Daten abbilden bzw. die Betriebsparteien sollten diese als eine erste, noch recht grobkörnige Checkliste für eine datenschutzgerechte Vereinbarung durchgehen. Art. 5 DSGVO gibt folgende Grundsätze für den Umgang mit personenbezogenen Daten vor, die auch für etwaige Verarbeitungen auf Grundlage von Betriebsvereinbarungen zu beachten sind:
- Rechtmäßigkeit (Verbot mir Erlaubnisvorbehalt)
- Treu und Glauben (Verhältnismäßigkeit)
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Aus Gründen der Transparenz kann es durchaus vorteilhaft sein, die in Art. 5 DSGVO vorausgesetzten abstrakten Grundsätze in einer für Arbeitnehmer gut verständlichen Form zusammenzufassen und als Grundlagen für die Datenverarbeitung im Betrieb in Form einer Rahmenbetriebsvereinbarung festzulegen.
Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung – erlaubt den Umgang mit personenbezogenen Daten nur, wenn diese oder eine andere anwendbare Rechtsvorschrift dies vorsieht. Art. 6 DSGVO enthält die wichtigsten allgemeinen Erlaubnistatbestände der Verordnung.
Art. 9 DSGVO ist eine Sondervorschrift zur Verarbeitung besonderer Kategorien personenbezogener Daten. Dabei ist der Katalog solcher sensitiver Daten weiter formuliert als der bislang geltende § 3 Abs. 9 BDSG a.F. Er umfasst auch ausdrücklich genetische und biometrische Daten. In Bezug auf die Verarbeitung dieser Kategorien personenbezogener Daten im Beschäftigungsverhältnis ist zudem § 26 Abs. 3 BDSG zu beachten.
Art. 7 DSGVO regelt die Bedingungen für Einwilligungen als Rechtsgrundlage für Datenverarbeitungen. Danach muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung abgegeben hat. Die Einwilligung muss ohne Zwang abgegeben werden. Sie kann jederzeit widerrufen werden. Die betroffene Person muss vor der Abgabe ihrer Einwilligung von der Möglichkeit zum Widerruf in Kenntnis gesetzt werden, Art. 7 Abs. 3 Satz 3 DSGVO. Bei der Einwilligung von Kindern bis zum vollendeten 16. Lebensjahr gelten nach Art. 8 DSGVO zusätzliche Anforderungen. In Bezug auf die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis auf Grundlage einer Einwilligung stellt § 26 Abs. 2 BDSG spezifische Anforderungen, insbesondere Kriterien für die Beurteilung der Freiwilligkeit einer von Beschäftigten erteilten Einwilligung.